Es ging leider doch sehr schnell: Wenige Tage nach dem Start der DSGVO gibt es – neben unzähligen Phishing-Mails – die ersten Abmahnungen. Die optimistischen Aussagen von Seiten der Politik und Juristen, dass es „eine DSGVO-Abmahnwelle nicht geben werde“, haben sich leider als falsch erwiesen.
Wir fassen an dieser Stelle die uns bisher bekannten Abmahnungen zusammen, damit Sie vorbeugen können und aktualisieren diese regelmäßig.
Ein wichtiger Hinweis: Wenn Sie von einer Abmahnung betroffen sind, geben Sie bei unklarer Rechtslage nie ungeprüft eine Unterlassungserklärung ab!
Sind DSGVO-Abmahnungen überhaupt berechtigt?
Vorab: Alle Aussagen der letzten Wochen darüber, dass es keine Abmahnungen aufgrund von DSGVO-Verstößen geben wird oder DSGVO- Abmahnungen generell unzulässig sind, sind leider schlicht falsch. 1. Weil es eben noch kein einziges Urteil dazu gibt. Und es 2. auch schon immer auch unberechtigte Abmahnungen gab. Es hilft den Abgemahnten dabei auch nicht, dass darauf verwiesen wird, dass die Gerichte den schwarzen Schafen unter den Abmahnern schon den Wind aus den Segeln nehmen werden. Nicht jeder der Abgemahnten kann sich die Klärung vor Gericht leisten.
Ob die aktuellen Abmahnungen in der Sache rechtmäßig sind, können wir aktuell leider kaum beurteilen. Die DSGVO ist gerade erst in Kraft getreten, es gibt noch keine Urteile zu diesen Fragen.
Denkbar ist, dass die konkret abgemahnten Verstöße tatsächlich gar nicht wettbewerbsrechtlich relevant sind. Oder entgegen des Ansicht der Abmahner durch die DSGVO – etwa das berechtigte Interesse – gedeckt sind.
Es kann auch sein, dass entsprechende Abmahnungen als rechtsmissbräuchlich eingestuft werden. Oder, dass die Gerichte wie aktuell von einigen Wettbewerbsrechtlern vertreten – doch entscheiden, dass DSGVO Verstöße an sich nicht wettbewerbsrechtlich abgemahnt werden können.
Wichtig ist auch zu wissen: Dass bestimmte Tools und Plugins in der Datenschutzerklärung erwähnt werden hat nichts mit der Frage zu tun, ob diese Tools und Plugins auch nach deutschem oder EU-Recht zulässig sind.
Das bekannteste Beispiel sind die Facebook-Plugins: Obwohl es seit 2016 ein Urteil des LG Düsseldorf gibt, das klar stellt, dass die Facebook like- und share-Button gegen Datenschutzrecht verstoßen, werden diese weiterhin auf unzähligen Webseiten eingebunden.
Der gesetzlich vorgeschriebenen Hinweis in der Datenschutzerklärung auf Tools, die personenbezogene Nutzerdaten speichern, führt aber nicht dazu, dass diese Tools auch automatisch datenschutzkonform sind.
Welche Abmahnungen sind bisher bekannt?
Abmahnungen wegen fehlender Datenschutzerklärung
Ein Dienstleistungsunternehmen lässt über eine Anwalt aus Augsburg Webseiten abmahnen die über keine Datenschutzerklärung verfügen.
Gefordert werden die Beseitigung der Verstöße (also das Einstellen einer Datenschutzerklärung), die Abgabe einer Unterlassungserklärung sowie die Übernahme der Kosten der Abmahnung.
Was ist zu tun:
1. Nicht ungeprüft eine Unterlassungserklärung abgeben
2. Eine Datenschutzerklärung auf der Webseite einstellen
3. Als Seitenbetreiber darauf achte, dass – unabhängig von der Datenschutzerklärung – nur datenschutzkonforme Tools und Plugins eingebunden werden
Abmahnung wegen der Einbindung von Google Fonts
Durch eine Kanzlei aus Düsseldorf wird die Einbindung von Google Fonts auf Webseiten abgemahnt. Gefordert werden Beseitigung der Verstöße, die Abgabe einer Unterlassungserklärung sowie die Übernahme der Kosten der Abmahnung.
Was ist zu tun:
1. Nutzen Sie Google Web Fonts nicht auf Ihren Seiten.
2. Wenn dies nicht möglich ist, binden Sie diese lokal ein:
Abmahnung wegen fehlerhafter Einbindung von Google Analytics
Schon seit längerer Zeit wird die fehlerhafte Einbindung von Google Analytics abgemahnt, etwa durch eine Rechtsanwaltskanzlei aus Hanau.
Es geht bei diesen Abmahnungen beispielsweise um die fehlende IP-Anonymisierung, fehlende opt out Möglichkeiten und die nicht erfolgte Erwähnung von Google Analytics in der Datenschutzerklärung.
Was ist zu tun:
Setzen Sie Google Analytics rechtskonform ein:
https://www.e-recht24.de/check/google-analytics-check.html
Weitere Hinweise und Tools zur Umsetzung finden eRecht24-Premium Nutzer hier:
Abmahnungen wegen Facebook like- und share-Buttons
Ebenfalls bereits in der Vergangenheit abgemahnt wurden die Einbindung der Facebook-Plugins zum Teilen und liken auf Webseiten. Hierzu liegt schon seit 2016 ein Urteil des LG Düsseldorf vor.
Es ist damit zu rechnen, dass die Facebook Plugins, aber auch Plugins anderer vor allem großer us-amerikanischer Dienste im Zuge der DSGVO-Verunsicherung verstärkt abgemahnt werden.
Was ist zu tun:
1. Nutzen Sie möglichst keine Plugins von Unternehmen, die sofort beim Aufruf einer Seite und ohne Wissen der Webseitenbesucher Daten übertragen. Das betrifft die Plugins zum Teilen von Inhalten nahezu aller großen Unternehmen und Netzwerke, vor allem aus den USA.
2. Verlinken Sie statt dessen auf Facebook & Co. oder nutzen Sie datenschutzgerechte Tools wie shariff oder das eRecht24 Safe Sharing Tool.
Abmahnungen wegen fehlender Verschlüsselung von Kontaktformularen
Bisher liegen uns dazu keine Abmahnungen vor. Unserer Einschätzung nach werden diese aber nicht lange auf sich warten lassen.
Was ist zu tun:
1. Verschlüsseln Sie Ihre Kontaktformulare.
2. Für Premium Nutzer: Setzen Sie die Hinweise in unserem DSGVO Quick Check um:
https://www.e-recht24.de/mitglieder?gfid=94
Wir werden Sie an dieser Stelle weiter über Abmahnungen zur DSGVO informieren.
1.) Die Webseite, die das Formular anzeigt unter SSL (https) betreiben.
2.) Die verwendete Email-Adresse, das Email-Konto bspw. unter SMTP und SSL/TLS oder ähnlich (beim Provider erkundigen, welche Einstellungen, Ports usw. zu verwenden sind) inklusive Passwort-Authentifizierung betreiben. Also z.B. nicht mit "PHP-Mail". Das sollte aber sowieso schon lange Standard sein. Auch bei der Einrichtung der Emailers auf dem eigenen Rechner oder der Firma etc.
Nun, es geht dabei ganz einfach darum, dass (am besten nicht nur das Kontaktformular, sondern Ihre ganze Webseite) über SSL (https) aufgerufen wird.
Allen fünfzig wird die Tat (hier wohl schwere Körperverletzung nach §226 StGB), wenn eine Beteiligung aller nachgewiesen wird, nach den Grundsätzen des §25 II StGB mittäterschaftlich zugerechnet.
(Oder das Problem wäre erheblich größer: Wenn die von Google beschriebene Art der Nutzung und Informationsspeicherung abmahnungswürdig ist, müsste eigentlich jede Website durch Abmahnungen bedroht sein, die zur Beschleunigung des Zugriffs Content-Delivery-Networks einsetzt)
Ganz einfach. Um die Fonts zu laden wird eine Verbindung zu einem Server (meist in den USA) aufgebaut. Der Fonts-Server weiss also immer wann jemand auf der Seite war. Es werden also Userdaten weitergegeben. Was alles an den Fonts-Server gesendet wird weiss ich nicht. Daher die Fonts immer auf dem eigenen Webspace ablegen und entsprechend in die Quellcodes (CSS-Datei) einbinden. Aber bevor man einen Font auf dem eigenen Webspace ablegt sollte man sich zwingend die Lizenzbedingungen genau durchlesen, denn nicht alle Webfonts fallen unter die "freie Verwendung außerhalb des Google-Fonts-Servers.
Dies sendent bei anklicken auch eine ganze Reihe an Daten zu Google.
Ich empfehle allerdings auf ReCaptcha zu verzichten und stattdessen auf sogenannte Honeypots zu setzen. Die sind dann auch barrierefrei und man muss nicht über die Nennung in der Datenschutzerklärung nachdenken.
Google Webfonts:
Die fonts selbst zu hosten ist eine Übergangslösung, die in den meisten Fällen nicht funktioniert. Viele Plugins von gängigen System verwenden Google Fonts sowie einige Pagebuilder und Standardsysteme. Diese lassen es nicht zu, die Webfonts von Google auszuschließen, zumal die Nutzung der Google Api den Traffic schmälert.
Typekit
Nicht möglich. Adobe bietet die Schriften aus lizenzrechtlichen Gründen nicht zum Download an. Designer sind auf diese Schriften angewiesen und haben in der Vergangenheit darum Kunden bekommen, da sie das CI des Kunden dank Typekit auch im Web einsetzen können.
Webfonts anderer Hersteller
Es gibt kein offizieller Webfontanbieter (ich rede von den Großen von Linotype, Adobe und Co.) die ihre Webfonts einfach per Download anbieten. Die meisten haben eine Api zur Einbindung über deren Server. Aus Urheberrechtsgründen und Lizenzgründen wird das so praktiziert. Davon abgesehen, haben die Abmahner diese noch gar nicht im Visier und davon gibt viele. Diese müssen genau festlegen wann welcher User auf welcher Webseite war, damit die Lizenzen auch exakt beim Kunden abgerechnet werden können. Mit der DSGVO würden diese Hersteller dies nicht mehr tun können.
Skripte / Erweiterungen
Kaum eine Webseite kommt ohne Einbindung standardisierter Skripte aus. Diese werden von allen Systemen verwendet. Es ist weder praktikabel noch finanziell möglich diese skripte selbst einzubinden. Das sind Javascriptbibliotheken oder andere Bibliotheken, die über Plugins, Shopsysteme oder andere Systeme zwecks Wartung und Instandhaltung auf Fremdservern zur Verfügung gestellt werden und teilweise wird auch kein Download angeboten bzw. ist das selbst einbinden nicht möglich weil die meisten Plugins geschlossene Programme sind.
Sharing
Das teilen von Inhalten ist bei vielen Seiten wichtig als Marketingstrategie. Menschen teilen gerne und können so schnell auch wichtige Inhalte weitergeben. Das läuft dann über linked-in, Facebook, twitter und Co. Ich muss mich ja sowieso dann bei dem Dienst anmelden und ich weiß doch, dass die kostenlosen Dienste meine Daten verwerten und Einblick haben. Wer das nicht möchte soll doch bitte nicht teilen.
ReCaptcha
Gegen Spam ist ReCaptcha das sicherste. Honeypot ist gut, kann aber mittlerweile umgangen werden. Wie soll ich meinem Kunden erklären, dass er jetzt Spam erhält obwohl es gängige und nützliche Tools gibt diese zu umgehen?
Den Erstellern dieses Wahnsinns ist nicht bewusst, dass es Industrien gibt, die nicht mehr wettbewerbsfähig sind. Eine Webseite wird heutzutage nicht mehr per Hand programmiert. Das ist nicht praktikabel und wäre auch zu teuer. Besonders Kunden auf die Freelancer angewiesen sind könnten und werden sich eine Seite im 5-stelligen Bereich nicht leisten. Dadurch würden Personen wie mir die komplette Grundlage zum Geld verdienen und Steuern zahlen entzogen.
Usererlebnis
Eine Webseite lebt heutzutage davon, dass die Besucher eine Nutzungserlebnis erwarten und bekommen. Das ist oftmals ein Vorteil gegenüber der Internationalen Konkurrenz oder grenzt eine Firma von Mitbewerben ab. Dazu gehören Animationen, Webfonts, Videos, Skripte usw. Dank der DSGVO gibt es kein Nutzererlebnis mehr, denn eigentlich müsste man auf jeder Seite Checkboxen zur Einwilligung erstellen, Videos erst auf Klick laden oder am Besten auf Alles verzichten. Da ist es klar, dass der Standarduser dann gerne zur Konkurrenz geht wo das funktioniert. Diese liegt dann eben außerhalb Europas. Es ist jetzt schon nervig die Cookiedisclaimer wegzuklicken und bei sämtlichen Buttons und Skripten einen ewiglangen Text darunter zu stellen, bei dem User informiert werden sollen.
Andere Dienste
Es gibt Dienste, die sind aus gesetzlichen Gründen verpflichtet im Hintergrund Nutzerdaten zu sammeln. Nehmen wir mal Radiosender. Diese müssen monatlich der Gema und GVL die Anzahl der "Einzigartigen" Hörer zusenden, sowohl anhand des Landes als auch der länge des Hörens. Zu Grunde liegt hier die IP, die einmalig gezählt wird, sowie das Endgerät, um bei neueinwahl einem Wechsel der IP vorzubeugen und somit die Statistik zu fälschen. Auf Grund der einzigartigen Verbindung wird der Hörer einmal gezählt. So kann die Verwertungsgesellschaft genau festlegen, wieviel Gebühren ein Radiodienst zu entrichten hat. Laut DSGVO wäre das unmöglich, denn es gibt noch nicht mal eine Einwilligungsmöglichkeit bei Webcaster-Systemen diese beim Einschalten einzuholen oder dies abzulehnen. Also wenn diese Daten nicht erhoben werden dürfen, dann dürften Webcaster auch keine Gebühren zahlen, dann würden Künstler nicht bezahlt werden und der Staat erhält keine Gebühre für Gema. Doch genau dazu sind Radios gesetzlich verpflichtet, diese Statistiken ganz genau zur Verfügung zu stellen. Dies ist nur ein Beispiel von vielen.
Die Lösung
Dabei wäre es doch so einfach. Wie wäre es mit einem Gesetz, das besagt, dass Menschen, die das Internet nutzen Daten im Netz hinterlassen und diese das auf ihre eigene Gefahr hin tun. Oder man schreibt den Netzbetreibern vor, dass sie ihre Server so konfigurieren, dass die IP anonymisiert wird (was gegen bestimmte Dienste wäre, siehe Webradio). Oder die User müssen unterschreiben, dass sie sich der Gefahr bewusst sind Spuren im Netz zu hinterlassen, sobald sie einen Vertrag eingehen oder ein Gerät kaufen mit dem man ins Netz gehen kann. Schweden hat doch etwas ähnliches getan und durch ein Änderung im Gesetz zur Ausübung der Meinungsfreiheit sozusagen den DSGVO-Wahnsinn umgangen. Warum tut das Deutschland nicht?
Abschließend sei gesagt
Webfonts, Skritpe und Co nicht zu nutzen oder lokal zu speichern ist keine Lösung und nur für große Firmen mit einer komplexen IT-Struktur und einer teueren Werbeagentur finanziell umsetzbar. Aus technischer Sicht ist es unmöglich eine anständige Seite zu betreiben ohne Zugriff auf internationale Dienste. Ich fühle mich in die Steinzeit versetzt zu Zeiten des Internetanfangs, bei dem Seiten nur Arial und Times verwenden konnten ohne Bilder und ohne praktischen Nutzen für User außer Textwüsten.
Es gibt noch einiges mehr an Punkten, die weder praktikabel noch umsetzbar sind. Es ist wohl niemanden Bewusst gewesen, dass hier zwar bestimmte Rechte gestärkt werden aber auch ganze Industrien zerstört werden. Habe ich einen Beruf gewählt, damit ich jetzt Hartz VI anmelden muss, da ich auf Grund der DSGVO keine Jobs mehr bekomme? Kleiner Scherz, aber soweit kann es kommen für Freelancer, die sich auf kleine und Mittelständische Kunden konzentriert haben und nun ihre Grundlage genommen bekommen Kostenoptimiert mit vorhanden Tools Dienstleistungen anzubieten.
Wir leben in einer vernetzten und digitalen Welt, die keine Grenzen kennt. Echte Meinungsfreiheit und gigantische Möglichkeiten für Nutzer und Firmen. Sogut wie alle Apps sind mit anderen vernetzt, teilen, machen vieles möglich und hilft einzelen und der Wirtschaft zu wachsen und in die Zukunft zu gehen. Das mußte jetzt mal gesagt werden.
Das Internet wurde nicht "erfunden" um als Gelddruckmaschine für Große Fische und deren symbiotisch anhängende kleinen Würmer zu fungieren. Das wurde in den letzten Jahren immer mehr dazu forciert, Informationen wurden und werden immer weniger - nur gegen cash ist noch was zu bekommen.
Und da spielt es dann auch keine Rolle, welche Daten der Kunden wohin gehen, wer was damit anstellt - es ist den meisten Webseiten- und Shopbetreibern und leider auch Designern bzw. Webentwicklern vollkommen egal.
Ist es aber nicht!
Begehrlichkeiten für Daten und Auswertungen, Kaufkraft und dann gezielt werben und Meinung machen, auch politisch, die Demokratie und den sozialen Frieden untergraben - all das wird halt seit zwei Jahren schon nicht mehr so einfach, seit Juni nun wird es bestraft.
Wenn du als Webdesigner/Entwickler nur mit den Werkzeugen bzw. automatischen DatensammelDesignwerkzeugen arbeiten und nur diese anbieten kannst hast du halt ein Problem - aber das ist nur deines, nicht und niemals das der DSGVO!
Freiheit und Achtung der Persönlichkeitsrechte sind die höchsten Güter eines entwickelten Gemeinwesens - oder soll das Unrecht der Leibeigenschaft und totalitären Systeme wieder gelten? Überwachung, Auswertung, Verfolgung und Selektion bei Arbeitsplatzsuche, Einkauf, Kreditvergabe, Versicherungsabschluss, Wohnungssuche usw. usw.?
Du darfst alles wenn du genau erklärst, was wann wo zu welchem Zweck von wem du an Daten, die eine Identifikation des Webseitenbesuchers ermöglichen, machst und für jede dieser Datensammelkraken den Kunden zustimmen lässt.
Zitat: Solche tendenzielle und schlicht falsche Aussage als Webentwickler? Mein lieber Schwan....
Auf jeder noch so billigen Webpräsenz lassen sich diese Dinge ablegen, Fonts, Scripte, Bilder, Texte etc. etc. - und einbinden ohne dafür Daten preisgeben zu müssen - wenn du das nicht kannst wie willst du dann eine Website bauen ohne zu wissen wie man Links auf Fontdatein und/oder Scripte o.ä. setzt? SSL per LetsEncrypt ist sogar kostenlos und absolut einfach. Wieso muss man "internationale" Tools verwenden? Es gibt jede Menge gute und funktionale Sachen die offen, ohne Hintertüren und selbst hostbar sind.
Wenn du aufgrund der DSGVO Hartz VI (wann wurde das eingeführt?) anmelden musst wie du vorher offenbar bedenken- und gedankenlos Kundendaten deiner Kunden abgegriffen hast bzw. abreifen lassen hast, ist das nur die direkte Folge.
Jede Handlung hat Folgen - das sollte endlich mal allen klar werden, und Daten grundlos und ohne Berechtigung abgreifen und in der Welt verteilen hat halt seit Juni möglicherweise finanzelle.
Hört endlich auf zu jammern und macht endlich eure Hausaufgaben, die DSGVO gibt es seit 2 Jahren und das BDSG gibt es schon seit 1977 - es hat nur leider kaum jemand geschert, weil es nicht durchsetzbar war.
Jetzt ist es halt anders und da sollte man sich drauf einstellen.
Wer das nicht kann ist in der digitalen Steinzeit stehengeblieben und nicht die, die den Schutz der hohen Werte unserer entwickelten Zivilgesellschaft durchsetzen. Auch Datenschutz ist ein Erfordernis der vernetzten und digitalen Welt, gerade weil es keine Grenzen kennt. Echte Meinungsfreiheit und gigantische Möglichkeiten für Nutzer und Firmen - aber nur solange sie nicht die persönlichen Daten verticken, damit exorbitante Gewinne machen und das ohne Zustimmung der Betroffenen.
Niemand hat das Recht ungestraft den Besitz eines anderen weiterzugeben die Freiheit des Einzelnen ist dsa höchste Gut - und persönliche Daten sind der wertvollste Besitz jedes einzelnen Menschen.
Btw. wenn ein Berufszweig deswegen ausstirbt, dann ist das halt auch Evolution - wer sich nicht anpassen kann an die Gegebenheiten stirbt - das ist wie im richtigen Leben.
Viele der Schriften stehen unter der »Open Font License«. In den FAQ zur der Lizenz heißt es z.B. zur Frage :"Can I make and use WOFF (Web Open Font Format) versions of OFL fonts? Yes, but you need to be careful. A change in font format normally is considered modification, and Reserved Font Names (RFNs) cannot be used. ..." Dann kommen technische Details zur Umwandlung ins WOFF Format, unter denen die Nutzung Lizenzkonform wäre. Die zu verstehen erfordert allerdings viel technischen Sachverstand in Bezug auf Metadaten innerhalb einer Schrift...
Ein bekannter Anbieter für Freefonts / Webfonts schreibt bei Schriften unter dieser Lizenz sinngemäss: "Diese Lizenz erlaubt es uns nicht, abgeleitete Versionen der Schriftart neu zu verteilen, ohne dass Namen innerhalb der Schriftart geändert werden." und bietet eben keine Umwandlung der Schrift in einen Webfont an.
Für mich stellt sich also die Frage: kann ich der genannten Anleitung folgen und eine solche Schrift auf dem eigenen Server bedenkenlos nutzen? Oder begehe ich u.U. durch den Versuch meine Website hier DSGVO Konform zu machen einen Verstoss gegen Lizenzbedingungen des Schriftenanbieters...